Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Kerio WinRoute Firewall (часть 2)

Автор: Chpok
Дата сообщения: 22.08.2006 09:39
как вставить скриншот в сообщение?
Автор: Mikes
Дата сообщения: 22.08.2006 09:59
1234566

Цитата:
Возник ещё любопытный вопрос - как настроить Winroute таким образом, чтобы он принимал соединения с группы Ip адресов (например 192.168.1.1 - 192.168.1.10) при этом он ещё и просил авторизацию пользователей Winroute с этих адресов???
А другие адреса например 192.168.1.15 он не принимал???

если ты поставил правила вида user - intet ....
то просто добавь ещё группу адресов 192.168.1.1 - 192.168.1.10
и ставь group - intet - permit ......
и авторизаци я обязательна
Автор: Chpok
Дата сообщения: 22.08.2006 10:37
source - 195.162.50.122
destination - Firewall
service - TCP 3389
action - permit
nat - desault outgoing interface
map - 192.168.2.86:3389
Юзер коннектится на Firewall со 122 IP, Firewall отправляет его на 86 по RDP по пору TCP 3389 он благополучно доходит до запроса имени и пароля потом подвисает и обрубается соединение.
Автор: SPeller
Дата сообщения: 22.08.2006 12:36
Полное удаление и установка по-новой тоже не помогли. Отчего не хочет он маршруты добавлять? Версия 6.2.1-1454. Комп имеет адрес 192.168.1.5, по адресу 192.168.1.1 находится адсл модем в режиме роутера. Данные маршруты нужны для того, чтобы при наличии виндового ВПН соединения запросы на указанные адреса не уходили в тоннель. Причем раньше все работало, а тут вдруг смотрю - не работает. Прошу помощи.

Добавлено:
Удалил все маршруты, создал одно правило по-новой, и всё-равно при нажатии на Apply маршрут остается неактивным. Мистика какая-то...

Добавлено:
Ага, заглянул в лог - сказало что лицензия просрочена, таблица маршрутизации отключена, канал урезан до 4 кб/с. Снес старую версию полностью, поставил 6.2.2, пролечил лекарством из соответствующей ветки на этом форуме, но всё-равно маршрутизация не работает.

Добавлено:
Причина была в интерфейсе. После перестановки сетевухи в другой разьем ее данные поменялись, а у керика остались старые. Старый интерфейс я удалил, а вот как на его место добавить новый - я не нашёл. Пришлось удалять конфиг, и в автосозданный переносить свои правила и роутинги. После этого всё заработало.
Автор: LazyLamer
Дата сообщения: 22.08.2006 14:53
У меня тоже с RDP проблема, но несколько иная.

Есть в инете сервер, на который нужно коннектиться терминалом.
Есть сервер с Керио, который даёт инет в локалку по НАТ.
Проблема: компы из локалки не могут подключиться (вообще нет коннекта) по RDP к серверу в нете.
При этом, с самого сервака с Керио (который НАТ дает) легко всё подключается, заходит и отлично работает. В чём загвоздка, вообще не врубаюсь
Правила изменял и так и эдак, если кто сталкивался, подскажите плз, очень надо!

Kerio 6.2.2 Build 1746
Автор: Yevgeniy
Дата сообщения: 22.08.2006 19:33
crapaud

Цитата:
ну прям даж и не знаю... ))) давай все трафик полиси в студию. Никаких персональных фаеров по пути не стоит?

Никаких других файрволлов не стоит.

Вместо прописывания портов заменил встроенной службой авторизации:



Вот все policy:

Автор: koltz
Дата сообщения: 23.08.2006 09:54
Yevgeniy

Мне вот интересно, с такими рулами у тебя pptp VPN работает нормально, пакеты натятся?

All

Где-то прочитал, что есть в стандартной поставке винды NAT editor, с помощью которого можно разруливать pptp VPN, но в тоже время в керио написано о поддержке pptp VPN,
так надо ли его(NAT editor) использовать. {я так и не добился двух коннектов pptp VPN из своей сети}

Автор: Evgeny_Sorokin
Дата сообщения: 23.08.2006 10:15
Yevgeniy
Посмотри winroute.cfg

<table name="Administration">
<variable name="RemoteAdmEnabled">1</variable>
<variable name="RemoteAdmPort">44333</variable>

Может там выключено удаленное администрирование.


Добавлено:
LazyLamer
Ну тут помоему загвоздка тока в траффик полиси..
LAN - INET - ANY - Permit - NAT для теста пробовал ?


Добавлено:
koltz
У меня pptp VPN ни в какую не хотел работать при выключенном протокол-инспекторе.
Автор: Yevgeniy
Дата сообщения: 23.08.2006 11:58
koltz

Цитата:
Мне вот интересно, с такими рулами у тебя pptp VPN работает нормально, пакеты натятся?

VPN не используется и как проверить без понятия.

Evgeny_Sorokin

Цитата:
Посмотри winroute.cfg

<table name="Administration">
<variable name="RemoteAdmEnabled">1</variable>
<variable name="RemoteAdmPort">44333</variable>

Может там выключено удаленное администрирование.

Содержимое напечатанному соответствует.
Автор: koltz
Дата сообщения: 23.08.2006 12:50
Evgeny_Sorokin

Огромное спасибо. Действительно, проблема была именно в этом.

Автор: LazyLamer
Дата сообщения: 23.08.2006 17:06
Evgeny_Sorokin, да я тоже так думал, и вчера как только не долбался
Оказалось всё несколько проще, там где не искал. Проблема с маршрутизацией вылезла левая, теперь всё ок. Спасибо за совет!
Автор: Balor
Дата сообщения: 24.08.2006 11:15
НародЪ!
Тут такая ситуевина:
Есть интернет от прова, жутко дорогой, идет до нас через NAT от роутера (т.е. на всех компах gateway его прописан). Хотим его пользовать только для почты, инета шефа и исходящего праффика.
Есть тарелка спутниковая, DBV-карта и Globax с его прокси.

Так-то просто раздать инет через прокси Globax'a можно просто, но шеф требует отчетность по трафику, настройку запрещений итп.

Решил (т.к. немного с ней раньше возился) поюзать для этого Kerio... но:
Обычно как: Карта сетевая до прова, карта сетевая в локалку.
А у нас карта до прова (для исходящего траффика) и в локалку - одна и та же, плюс DBV карта - только на вход, плюс Globax, с которого-то и надо брать инет.
Короче, дело ясное, что дело темное.

Пробовал делать каскадирование - вроде идет, но не фига не учитывается почему-то .
В общем, хотелось бы помощи в плане:
NAT мне не нужен, можно просто через проксю Kerio с каскадированием на глобакс, главное чтобы трафик учитывался и разные интересные запреты ставить можно было.

Ну и неплохо бы совет, как настоить чтобы пользователи автоматически авториизировались через Active Directory. А то у меня только по IP получилось почему-то.
Автор: 1234566
Дата сообщения: 25.08.2006 16:23
Господа, а куда делось управление памяти кэша в версии 6.2.2?
Автор: Arakcheev
Дата сообщения: 25.08.2006 17:05
1234566
нету его теперь. афтоматом фунциклирует.
Автор: ghost3k
Дата сообщения: 26.08.2006 03:55
KWF 6.2.2, что-то bandwidth тамошний, кроме как в 1000 кб/s (out), не хочет скорость резать!
Ставлю 1000 - работает, 1500-2000 - не работает... а у кого-нибудь работает?
Автор: Efrome
Дата сообщения: 27.08.2006 12:58
Напишите пошагово, как в Kerio 6.2 реализовать на компьютере с тремя сетевыми картами:

локальная сеть
ADSL Интернет
домашняя сеть Интернет

доступ в Интернет по обоим линиям. Нужно, чтобы этот компьютер шел в Интернет через ADSL Интернет, а пользователи, подключающиеся через Локальную сеть, шли в Интернет через домашнюю сеть Интернет

ОС: Windows Server 2003. Для подключения к Интернету через домашнюю сеть Интернет устанавливается подключение по VPN с сервером провайдера.
Автор: John Smirnov
Дата сообщения: 28.08.2006 01:13
Похоже на баг... Ситуация следующая.

Машина с KWF. 2 интерфейса - LAN с 192.168.10.1 и PPP (RAS, Dial-up, VPN, все равно). По PPP коннектимся вручную, адреса жестко задаются из отличной от LAN подсети. Требуется работа широковещательного приложения (игры Worms World Party ) на интерфейсе PPP.
Однако при данной конфигурациии широковещание игры от машины с KWF блокируется по очень странной причине. Смотрите.

Врубаем лог пакетов по соотв. правилу, ВЫКЛЮЧАЕМ интерфейс LAN, запускаем игру, несколько поисков игровых серверов в ней, выход. Смотрим лог:
Цитата:
[28/Aug/2006 01:36:36] PERMIT "NAT" packet to GPRS, proto:UDP, len:36, ip/port:10.54.233.99:17012 -> 255.255.255.255:17012, udplen:8
[28/Aug/2006 01:36:36] PERMIT "NAT" packet to GPRS, proto:UDP, len:52, ip/port:10.54.233.99:17012 -> 255.255.255.255:17012, udplen:24
[28/Aug/2006 01:36:37] PERMIT "NAT" packet to GPRS, proto:UDP, len:36, ip/port:10.54.233.99:17012 -> 255.255.255.255:17012, udplen:8
[28/Aug/2006 01:36:37] PERMIT "NAT" packet to GPRS, proto:UDP, len:52, ip/port:10.54.233.99:17012 -> 255.255.255.255:17012, udplen:24
(10.54.233.99 в данном случае адрес PPP-адаптера.) Здесь все ок, broadcast-пакеты партнеру по PPP уходят, игра работает. Но стоит только ВКЛЮЧИТЬ интерфейс LAN, как broadcast-трафик на PPP оказывается блокированным. В логе имеем:
Цитата:
[28/Aug/2006 01:34:13] {pktdrop} packet dropped: wrong broadcast (to GPRS, proto:UDP, len:36, ip/port:192.168.10.1:17012 -> 255.255.255.255:17012, udplen:8)
[28/Aug/2006 01:34:13] {pktdrop} packet dropped: wrong broadcast (to GPRS, proto:UDP, len:52, ip/port:192.168.10.1:17012 -> 255.255.255.255:17012, udplen:24)
[28/Aug/2006 01:34:14] {pktdrop} packet dropped: wrong broadcast (to GPRS, proto:UDP, len:36, ip/port:192.168.10.1:17012 -> 255.255.255.255:17012, udplen:8)
[28/Aug/2006 01:34:14] {pktdrop} packet dropped: wrong broadcast (to GPRS, proto:UDP, len:52, ip/port:192.168.10.1:17012 -> 255.255.255.255:17012, udplen:24)
Вот хз, что это такое. Почему трафик начинает идти с интерфейса LAN? Допустим, так написана игра - садится только на один интерфейс. Но если выключить винрут, то и на PPP-адаптер пойдут броадкасты, даже при ОБОИХ включенных интерфейсах! И игра будет работать. А включаешь винрут - и обламываешься.

Помогите разобраться, что происходит.
Почему трафик начинает идти с LAN по такому странному броадкасту?
Как он достигает (а он достигает!) клиента PPP?
Почему винрут режет такие пакеты, если его включить? (либо LAN, либо PPP - работает, с обоими - wrong broadcast).
Можно ли заставить его их пропустить? Есть ли обходные пути?
Автор: vidoq123
Дата сообщения: 28.08.2006 10:39
все борюсь с одной проблемой.
керио лезит на сервер лицензимй и стопарит работу сервака, т.е. в этот момент когда он ругнулся на лицензию - он перекрывает все подключения!!!
приходятся идти и нажимать все кнопочки вручную... блин... что за дела! как с этим бороться???
как сделать чтобы он не ломился на сервак???
-----------------
еще такая проблема.
поднял впн от керио, но при подключении он не хочет работать с днс именами сети(((
как настроить, а то каждый раз вводить ип адреса мне не хочется, да и работает нас по впн 5 челов, а они уж и подавно не запомнят эти ип...
керио стоит на серваке который держит dhcp и dns, внутренний dns керио не ключается, говорит идет в разрез с виндовым...
Автор: Mikes
Дата сообщения: 28.08.2006 10:58
vidoq123

Цитата:
все борюсь с одной проблемой.
керио лезит на сервер лицензимй и стопарит работу сервака, т.е. в этот момент когда он ругнулся на лицензию - он перекрывает все подключения!!!
приходятся идти и нажимать все кнопочки вручную... блин... что за дела! как с этим бороться???
как сделать чтобы он не ломился на сервак???

парвильное лекарство в варёзнике.. проследить куда и закрыть этот адрес.. (например написать ему 127.0.0.1 в hosts) отключить автоапдейт...


Цитата:
керио стоит на серваке который держит dhcp и dns, внутренний dns керио не ключается, говорит идет в разрез с виндовым...

у керио нет DNS .. это DNS forwarder ... и он работает на том же порту что и DNS сервер и естественно конфликтует
Автор: vidoq123
Дата сообщения: 28.08.2006 11:41
ладно, забьем на dns forwarder, мне нужно сделать чтобы у впн клиента была возможность обращаться к внутренней сетке по именам, а не по ип.
Автор: Evgeny_Sorokin
Дата сообщения: 28.08.2006 13:43
vidoq123
А в свойствах VPN интерфейса указал DNS сервер ? Хотя может и не в этом дело. А что говорит на VPN клиенте ipconfig ?
Автор: vidoq123
Дата сообщения: 28.08.2006 13:58
vpn интерфейс это который в керио vpn server????
там то стоят настройки и ип и маска и днс сервак!!!
или на vpn у клиентов???
Автор: John Smirnov
Дата сообщения: 28.08.2006 14:09
Проблема решена. Написал на поддержку, ответили сразу и в точку:

Pavel Stepanek
Posted On: 28 Aug 2006 11:52 AM
Hello,
this is not correct behaviour the client application do. It sends
broadcast to all network adapters what is not correct. KWF check if
the source of the broadcast match with the adapter to which the
broadcast is being sent to. This does not match when LAN interface is
connected.

LAN has 192.x.x.x IP address range and the interface to which the
broadcast is being sent to is 10.x.x.x.

You can disable this security check in the configuration file:

1. stop Kerio WinRoute Firewall engine
2. open winroute.cfg configuration file located in the installation directory of KWF.
3. Locate DiscardWrongBroadcasts option and set it to 0 instead of default 1 value.
4. Save configuration file
5. Start WinRoute engine.
Автор: Evgeny_Sorokin
Дата сообщения: 28.08.2006 14:21
vidoq123
У тебя контроллер домена есть? Вроде что-бы пнговать по именам должен wins server стоять. Хотя поправьте меня если не так.

PS.А давно этот форум кабан определяет как "Незаконное использование программного обеспечения" что-то раньше не замечал..
Автор: vidoq123
Дата сообщения: 28.08.2006 15:14
нет как раз за это и отвечает DNS...
винс более поздняя фича, причем у меня такое чувство что они взаимозаменяемы.
DNS - domain name service
WINS - Windows Internet name service
делают то одно и тоже, DNS у меня виндовый поднят, а вот WINS сервер я не подымал...
думаю даже и не в этом дело, но может я ошибаюсь???
что сделать то?
Автор: hohel
Дата сообщения: 28.08.2006 15:25
Привет я пользуюсь керио. Мой вопрос: на сколько доставерно считает керио трафик?
Я выгружаю logи керио в Internet Access Monitor и у них разногласия. Почему? И почему керио не отрубает некоторых
пользователей по истичению лимита, хотя в квоте написано отрубать по истичению. Спасибо
Автор: Evgeny_Sorokin
Дата сообщения: 29.08.2006 08:08
vidoq123
Ты знаешь у меня фигня такая была, был локальный домен, допустим firma.local так вот без винc-сервера клиенты пинговались только по полному DNS имени, то есть client.firma.local а как только поставил винс-сервер, так и пинговаться стали по имени компа.

Добавлено:
hohel
Вообщем у меня такое ощущение, что либо керио криво считает траффик, либо провайдер меня дурит, у провайдера железка считает мой траффик. В месяц по подсчетам керио качаем 8 гигов, у провайдера 12 гигов. Вот и думаем...
Автор: hohel
Дата сообщения: 29.08.2006 10:23
Я когда считаю траффик у керио реально траффику меньше чем у провайдера, но его же логи выгружаю в Internet Access Monitor и траффик более или мение совпадает с провайдером. У меня такое ощущение что он свои логи с опозданием считает.

Добавлено:
А винс сервер ни к чему просто в керио ставлю пользователю в инет выходить через конкретный ip и все. У меня такое ощущение что керио не отрубает инет толи из-за того что кто-то другими браузерами не internet explorer пользуются толи винда не хр. Но тоже смотрю в этом месятце 1 юзера отрубает по истичению лимита на трафик, а в другом орет превышен но пускает!!! Видемо глюк такой в самом керио!
Автор: dvk54
Дата сообщения: 29.08.2006 12:24
Хай, коллеги.
Такой вот вопрос ночью встал: А может ли KWF просто роутить пакеты между ифейсами?Вот моя кошка: 2 ифейса, набор акцес-листов, и пакеты просто перебрасываются с Eth0/0 на Eth1/0, к примеру... Сразу уточняю - на керио сижу еще с версии 4.xx.
Но вот как такое реализовать - сразу и не сообразил, возможно, просто мозги "замылены".

Задача 1: есть сеть "х.х.х.224/28" с "белыми" IP и сеть "y.y.y.0/28" с шпу y.y.y.1 -выход в инет. Между ними моя машина с 2 ифейсами и KWF. Как организовать роутинг пакетов без NAT?

Задача 2. почти тоже самое, но сети - "серые". Роутинг должен быть взаимный.

Общая часть: KWF должен, к примеру, резать порт 4000 на части IP.

NAT НЕ ПРЕДЛАГАТЬ!!!

Жду ваших мнений и предложений.
Автор: vidoq123
Дата сообщения: 29.08.2006 12:46
Evgeny_Sorokin
как ему прописать винс? или его просто настроить нужно на том компе на котором стоит керио???

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869

Предыдущая тема: Microsoft Exchange Server


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.